Cybersécurité
Le mot cybersécurité est un néologisme désignant l'ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des états et des organisations (avec un objectif de disponibilité, intégrité & authenticité, confidentialité, preuve & non-répudiation)[1].
Origine et définition
Le préfixe Cyber a donné avec Internet et la généralisation du numérique un grand nombre de mots tels que Cyberespace, Cybersécurité, Cyberdéfense, Cyberattaque, Cybercrime, Cybercafé, Cyberculture, Cyberdémocratie, Cybermarché, Cyber-réputation.
Le terme cybersécurité est construit à partir du préfixe Cyber d’origine grec, réapparu au milieu du XXe siècle avec Cybernétique, ce dernier concernant l'étude des processus de contrôle et de communication chez l’être vivant et la machine[2].
Concept général de la cybersécurité
La cybersécurité, qui concerne la sécurité de chaque État-Nation, présente des enjeux économiques, stratégiques et politiques qui vont donc bien au-delà de la seule Sécurité des systèmes d'information. Elle concerne d'ailleurs aussi bien l'informatique de gestion, l'informatique industrielle, l'informatique embarquée que les objets connectés. La cybersécurité doit être appréhendée de manière holistique pour prendre en compte les aspects économiques, sociaux, éducatifs, juridiques, techniques, diplomatiques, militaires et de renseignement[3]. Excellence technique, adaptabilité et coopération sont essentielles dans ce domaine.
Une stratégie nationale de cybersécurité va demander de la continuité politique et une vision à long terme. Des différentes publications des États semble se dégager un consensus reconnaissant la nécessité d'organiser et d'assurer la sécurité et la défense des systèmes techniques eux-mêmes, et celles des sociétés qui utilisent ces systèmes.
Ceci dit, afin d'encourager une culture mondiale et motiver les pays pour qu'ils intensifient leurs efforts en matière de cybersécurité, l'Union internationale des télécommunications a développé un indice de la cybersécurité dans le monde (GCI) qui mesure le niveau de développement de chaque pays dans ce domaine. Le premier rapport a été publié en avril 2015[4].
Dans le domaine de la cybersécurité, les cycles de réaction et de décisions doivent être brefs. L'ISACA invite à utiliser un processus simple, développé par le NIST[5], pour identifier les menaces, se protéger, détecter les attaques, y répondre, puis revenir à un mode de fonctionnement normal. L'obligation de signaler ces attaques relève d'un niveau de maturité des organisations et des États qu'il reste encore à travailler. L'ISACA, comme à son habitude, inscrit ce processus dans le cadre d'une méthodologie reposant sur l'analyse de risques pour identifier les actifs critiques (patrimoine informationnel), définir des objectifs de sécurité et d'optimisation des risques. L'approche doit être très opérationnelle pour être capable de gérer des cyberattaques en temps réel, de réagir et de donner des ordres afin que des mesures concrètes soient prises et que des actions pertinentes soient menées[6].
La notion de ISOC, pour Information security operations center[7]devient une composante pleine et entière de la mise en œuvre des politiques de cybersécurité dans les organisations publiques et privées. Pour être efficace, une ISOC doit "monitorer" l'ensemble des composants d'un système d'information et être capable de détecter et de sélectionner parmi des milliards d’octets des éléments caractéristiques d'une cyberattaque puis, le cas échéant, d’adapter le plus intelligemment possible la réactivité des différents composants concernés dudit système d'information.
La réglementation internationale
Face à l’augmentation des menaces, la réglementation est internationale.
États-Unis
Pour les États-Unis on peut citer les deux directives de la Maison-Blanche de 2013[8] et de 2015[9], ainsi que la création en février 2015 d'une nouvelle agence dédiée à la cybersécurité, la CTIIC[10]. Le Département de la Défense des États-Unis met à jour régulièrement sa cyberstratégie[11]. Les cinq priorités de l'Administration américaine dans le domaine de la cybersécurité deviennent :
1/ Protéger les infrastructures critiques des États-Unis ; 2/ Améliorer la capacité des États-Unis à identifier les cyberattaques et à rapporter celles-ci afin que le pays puisse y répondre rapidement et efficacement de manière coordonnée ; 3/ Développer les partenariats internationaux afin de continuer à promouvoir la liberté sur Internet ; 4/ Sécuriser les réseaux des différents États en définissant des objectifs clairs et mesurables, et responsabiliser les agences fédérales pour qu'elles atteignent ces objectifs ; 5/ Éduquer pour façonner une main-d'œuvre avertie, sensibilisée aux enjeux de la cybersécurité.
Union Européenne
Dans le cadre de l'Union Européenne un projet de directive (référence SWD 2013-31 et 32) du Parlement et du Conseil Européens est en cours de validation. Il concerne des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union qui imposerait un niveau de sécurité minimum pour les technologies, les réseaux et les services numériques dans l'ensemble des États membres. Le texte propose également d'obliger certaines entreprises et organisations à signaler les incidents de sécurité informatique majeurs dont elles sont victimes La stratégie de cybersécurité de l'UE définit l'approche adoptée par l'UE pour prévenir au mieux les perturbations et les attaques informatiques et y apporter une réponse. Elle passe en revue une série d'actions visant à augmenter la cyber‑résilience des systèmes informatiques, à réduire la cybercriminalité et à renforcer la politique de l'UE en matière de cybersécurité et de cyberdéfense à l'échelle internationale, pour protéger le cyberespace, dans les domaines tant civil que militaire.
Le Forum international de la cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité et à renforcer la lutte contre la cybercriminalité, priorité de l’Union européenne affichée dans le programme européen de Stockholm de 2010-2015.
France
En France, monsieur Jean-Marc Ayrault, alors Premier ministre, déclarait le 21 févier 2014 : La cybersécurité « est une question d’intérêt majeur et d’intérêt national qui concerne tous les citoyens, tous les Français, et c’est pourquoi il est important que le gouvernement s’engage totalement »[12]. Et madame Axelle Lemaire, Secrétaire d’État au numérique, indiquait le 6 juillet 2015 : « Le Gouvernement présentera dès la rentrée prochaine une stratégie nationale globale sur la Cybersécurité ». Comme ainsi prévu, monsieur Manuel Valls, Premier Ministre, a présenté le 16 octobre 2015 cette Stratégie nationale pour la sécurité du numérique[13] qui doit s'appuyer sur la formation et la coopération internationale (proposition d'élaboration d'une feuille de route pour l'autonomie stratégique numérique de l'Europe ; participation renforcée de la France aux négociations multilatérales sur la cybersécurité au sein de l'ONU et de l'OSCE).
Cette stratégie, élaborée avec l'ensemble des ministères, fixe les objectifs à atteindre et les orientations qui en découlent afin de conforter la sécurité et la défense de nos infrastructures critiques et d’accompagner la transition numérique en définissant les leviers humains, techniques et opérationnels nécessaires à l’innovation, au développement économique et à la confiance des Français dans le numérique[14].
Enfin, le Gouvernement français lancera au premier semestre 2016 un dispositif susceptible d’assister sur tout le territoire les victimes d’actes de cybermalveillance (particuliers, collectivités territoriales et entreprises de toute taille). Ce dispositif fournira, par exemple via une plateforme numérique, un service d’assistance au dépôt de plainte et d’orientation vers des acteurs locaux susceptibles de fournir l’assistance technique la plus adaptée à la situation de la victime.
Toujours en France, l’article 15 de la Loi de programmation militaire pour 2014-2019 (votée en décembre 2013) détaille les obligations que le Premier ministre peut imposer aux opérateurs d'importance vitale (OIV) en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles. Il prévoit également les sanctions pénales applicables en cas de non-respect de ces obligations (Il y a environ 200 OIV dont 120 dans le secteur privé et 80 dans le secteur public). Le fait que ces obligations soient traitées dans la Loi de programmation militaire montre simplement que la défense et la sécurité nationale doivent être traitées globalement et de manière cohérente. L'article 22 de cette Loi impose aux OIV la mise en place d’équipements de détection d’attaques informatiques et leur exploitation par des prestataires qualifiés par l’ANSSI (Agence nationale de la sécurité des systèmes d'information) ou par d'autres services de l'État désignés par le Premier ministre.
La cybersécurité est d'ailleurs aussi un des 12 domaines du plan Vigipirate qui concerne directement l'ANSSI, les OIV et leurs sous-traitants, ainsi que les Administrations. Les collectivités territoriales, les Opérateurs non-OIV sont simplement incités à mettre en œuvre le plan Vigipirate. Des objectifs permanents de sécurité communs à tous sont donc également considérés comme des conditions du succès de la mise en œuvre du plan Vigipirate[15].
Un label "France Cybersecurity"[16]. a été créé pour sensibiliser les utilisateurs, attester de la qualité et des fonctionnalités des produits et services labellisés, promouvoir en France et à l'international les solutions de cybersécurité françaises, accroître leur visibilité et leur usage pour élever le niveau de protection des utilisateurs.
En cybersécurité, au moins deux questions sont donc à adresser : Comment protéger ses infrastructures vitales ? Comment faire coopérer acteurs privés ou publics ?
Bibliographie
- Nicolas Arpagian, La Cybersécurité, PUF, coll. « Que sais-je ? », (ISBN 978-2130652199)
- Ludovic Pietre-Cambacedes et Yannick Fourastier, Cybersecurite des installations industrielles, Éditions Cépaduès, , 528 p. (ISBN 978-2364931688)
- Myriam Quéméner et Jean-Paul Pinte, Cybersécurité des acteurs économiques : Risques, réponses stratégiques et juridiques, Hermes Science Publications, coll. « Cyberconflits et cybercriminalité », (ISBN 978-2746239159)
- Christian Aghroum, Les mots pour comprendre la cybersécurité : Et profiter sereinement d'Internet, Lignes de Repères Editions, , 217 p. (ISBN 978-2915752649)
Notes et références
- ↑ Source ITU X.1205
- ↑ Source Dictionnaire historique de la langue française, édition Le Robert.
- ↑ Source Les évolutions de la cybersécurité : contraintes, facteurs, variables. Étude prospective et stratégique de la DGRIS de juin 2015.
- ↑ ITU Global Cybersecurity Index (GCI)
- ↑ Framework for Improving Critical Infrastructure Cybersecurity
- ↑ Source Armée de l'Air, Centre d’études stratégiques aérospatiales, Ministère de la Défense - Réflexions sur le cyber : Quels enjeux ? juillet 2015.
- ↑ Source article ISOC Information security operations center sur la version anglaise de wikipedia
- ↑ Executive Order - Improving Critical Infrastructure Cybersecurity
- ↑ Executive Order - Promoting Private Sector Cybersecurity Information Sharing
- ↑ The Cyber Threat Intelligence Integration Center
- ↑ The DOD Cyberstrategy, avril 2015
- ↑ Discours du Premier ministre tenu à l’ANSSI
- ↑ Stratégie nationale pour la sécurité du numérique
- ↑ Source Égalité des droits : la confiance, socle de la société numérique - Cybersécurité et cyberprotection
- ↑ Source Vigipirate - Partie publique du Plan gouvernemental, 2013.
- ↑ Label France Cybersecurity
Annexes
Articles connexes
Liens externes
- EU International Cyberspace Policy
- Agence Nationale de la Sécurité des Systèmes d'Information
- Portail de la sécurité de l’information
- Portail de la sécurité informatique
- Portail de l’informatique
- Portail de l’électricité et de l’électronique